OpenVPN + LetsEncrypt "automatisieren"

peterle

Forenkasper
Hat einer von Euch einen Ansatz, wie ich OpenVPN mit Zertifikaten von LetsEncrypt versorgen kann und das dann monatlich alles tauschen kann, wenn ich 70 Clients habe?
Bitte ohne das alles von hand frickeln zu müssen. :o
 
Ist es denn überhaupt notwendig, domainvalidierte Zertifikate fürs VPN zu nutzen? Ich würde behaupten, "selbstsignierte" reichen dafür aus, da kannst du dann auch die Laufzeit selbst definieren.

Rob
 
Das war irgendwie so eine dämliche Idee, weil ich angenervt von lauter Renewals war. :cool:

Ich frage mich aber trotzdem, ob es nicht eine Möglichkeit der Automation gibt?
 
Klar gibt es die. Es gibt zig verschiedene Clients, die alle nur das API von LE bedienen. Es gibt 3 verschiedene Challenge-Typen, wovon DNS-01 am brauchbarsten erscheint. Bisschen drumrumscripten und ab geht's!
 
Es gibt 3 verschiedene Challenge-Typen, wovon DNS-01 am brauchbarsten erscheint. Bisschen drumrumscripten und ab geht's!
Ich finde das dns-01 challenge nicht gut fürs Automatisieren geeignet. Eine Authentifizierung gilt mittlerweile nur noch 30 Tage, das heißt man muss dann auch jeweils einen DNS-Eintrag (in der Regel von Hand) für die Authentifizierung neu setzen, wenn man monatlich ein neues Zertifikat ausstellen möchte. Das http-01 lässt sich IMHO besser integrieren.

Rob
 
Ich finde das dns-01 challenge nicht gut fürs Automatisieren geeignet. Eine Authentifizierung gilt mittlerweile nur noch 30 Tage, das heißt man muss dann auch jeweils einen DNS-Eintrag (in der Regel von Hand) für die Authentifizierung neu setzen, wenn man monatlich ein neues Zertifikat ausstellen möchte. Das http-01 lässt sich IMHO besser integrieren.

Rob

Bei beiden muss man eine Challenge vorhalten. Ob man die jetzt automatisiert in eine Datei schreibt oder automatisiert ein DNS-Update macht, nimmt sich vom Aufwand her gar nichts.

HTTP-01 hat den riesigen Nachteil, dass man auf der Kiste, die ein Zertifikat haben will, extra Dienste und offene Ports hat. Mit DNS-01 lässt sich das auf eine separate Kiste auslagern. Ich würde nie HTTP eingehend auf nem Mailserver aufmachen, nur damit der ein Zertifikat kriegt. Ausgehend SFTP zu einem zentralen Host ist dagegen einfach gemacht und wesentlich unproblematischer.
 
Zurück
Oben